A. 정보보호 상시평가제

1. 개요

정보보호 상시평가제란 금융회사와 신용정보 업자들이 연 1회 이상 『신용정보의 이용 및 관한 법률(이하 신용정보법)』 준수 현황을 점검하여, 그 결과를 금융보안원에 제출하는 제도입니다.

 

정보보호 상시평가는 새로운 데이터 활용 환경에서 대응할 수 있는 정보보호 체계를 배경으로 만들어졌습니다. 2016년 다보스 포럼에서 클라우스 슈밥 교수가 4차 산업혁명을 공식적으로 언급한 이후 빅데이터, 블록체인 등의 기술이 대두되면서 데이터의 종류와 양이 많아졌습니다.

 

인공지능의 신기술, 가명·익명정보, 데이터 거래·결합 등 새로운 데이터 활용 환경에서도 적절한 대응이 요구되었고, 환경 변화에 대응하여 2017년부터 형식적으로 시행해 오던 기존의 정보보호 점검체계를 보완하고, 금융권이 보다 적극적인 역할을 할 수 있도록 정보보호 실태 점검방식의 개선이 필요해졌습니다.

 

데이터 활용 관련 제도의 변화

 

2. 정보보호 상시평가제 구성항목

2-1. 상시평가제의 법령 근거

2020년 2월 개정하여 2020년 8월부터 시행된 신용정보법에 따르면, 신용정보관리·보호인은 신용정보법 제20조 제4항 제1호의 업무를 수행하고, 제6항에 따라 개인신용정보 관리 및 보호 실태를 정기적으로 점검(이하 자체평가)하여 그 결과를 금융위원회에서 위탁한 금융보안원에 제출해야 합니다.

 

상시평가제의 법령 근거

 

금융보안원은 제출받은 결과를 신용정보법 제45조의 5에 따라 대상 기관이 제출한 자체평가 결과를 서면 점검합니다. 그리고 그 결과를 점수 등급으로 표시하고, 금융위원회는 신용정보법 시행령 제37조 제6항에 따라 법 제20조 제6항 및 제45조의 5 제1항, 제2항의 업무를 금융보안원에 위탁합니다.

 

상시평가제의 법령 근거

 

추가로 금융회사 소속 임직원 정보는 금융회사 본질적인 업무인 상거래와 관계가 없는 경우, 개인정보보호법을 적용받고, 개인 고객정보는 상거래 관계가 있으므로 신용정보법을 적용받습니다. 그리고 법인에 대한 정보는 정보보호 상시평가와 관련이 없습니다.

 

2-2. 평가기준

평가 기준은 금융회사 규모와 특성에 따라 표준, 중소형, 상호금융으로 분류됩니다. 다시 표준 평가기준은 개인신용정보 부문과 가명정보 부문으로 나뉩니다. 참고로 ISMS-P 인증을 받은 평가대상기관은 평가항목 중 일부가 제외될 수 있습니다.

 

표준 평가기준

표준 평가기준은 크게 개인신용정보 부문과 가명정보 부문으로 구분되며, 개인신용정보 부문은 대항목 5개에 평가항목 49개로 구성되고, 가명정보 부문은 대항목 1개에 평가항목 10개로 구성됩니다.

 

상호금융회사의 평가기준

개인신용정보 부문에 대항목 5개, 평가항목 13개로 구성이 됩니다. 대상 기관은 직전 연도에 대한 정보보호 상시평가항목의 자체평가 결과와 이에 대한 증빙자료를 상시평가지원 시스템을 통해 당해 연도 1분기 말까지 금융보안원으로 제출하고 금융보안원은 대상 기관의 자체평가 결과에 대한 서면 점검을 수행하고 그 결과를 점수·등급화합니다. 정보보호 상시평가 최종 결과는 금융위원회에 보고되고 금융감독원에 송부하여 현장점검 등 취약점 보완 조치 시 활용됩니다.

 

평가절차

 

B. 정보보호 상시평가의 수행

1. 개요

직전 연도에 대한 개인신용정보 관리 및 보호 실태를 대항목과 평가항목으로 자체평가 후 대표이사와 이사회 보고하고, 당해 연도 1분기 말까지 금융보안원에 제출해야 합니다. 금융보안원의 서면 점검이 끝나면 10월경에 점검 결과가 지원시스템에 게시되고, 보완 요청 사항이 있으면 이의신청과 함께 증빙 자료를 제출해야 합니다. 이때 이의신청은 1회에 한하여 가능합니다.


2. 수행절차 

2-1. 상시평가 평가항목 평가 기준

상시평가 평가항목에 대한 자체평가를 위해 금융보안원은 각 항목에 대한 중점 확인사항, 증빙자료 설명 등의 평가 방법과 증빙자료 예시를 안내하고 있습니다. 상시평가 지원시스템 일반게시판, 자료실의 “상시평가 평가기준”을 참고하시면 됩니다.

 

상시평가 평가항목 평가 기준

 

2-2. 평가항목별 담당부서 확인

상시평가 평가항목에 대해 회사 내 운영 현황을 정확히 평가하기 위해서는 평가항목과 관련된 업무를 수행하고 있는 정보보호부서, IT부서, 감사부서, Biz부서, 인사부서 등 협업 부서와 담당자를 확인해야 합니다. 예시 이미지의 노란색의 주 담당자, 운영 부서 칼럼과 같이 평가항목별 담당부서, 담당자를 매핑하면 수월한 자체평가를 수행할 수 있습니다.

 

평가항목별 담당부서 확인

 

평가항목별 담당 부서와 담당자를 찾는 것이 상시평가 자체평가 중 가장 어려운 것 중의 하나라고 할 수 있습니다. 또한, 하나의 평가항목에 여러 부서와 관련된 경우 업무의 현황과 증빙 자료의 취합, 개선 계획의 수립과 추진 부서의 결정이 어려울 수 있으며, 시스템, 데이터를 운영/관리하는 IT부서의 담당자를 찾거나 지정하는 것과 정보보호 상시평가 증빙자료 중 개인정보 수집 동의한 정보주체 수와 같은 데이터를 산출하는 것도 어려움 중의 하나입니다.

 

정보보호 상시평가 자체평가를 총괄하는 부서와 담당자는 평가항목별 업무 현황 요청 및 확인, 증빙자료의 취합과 미흡한 부분의 개선을 위해 관련 부서와 원활한 커뮤니케이션을 통해 업무 협조를 끌어내야 합니다. 그리고 업무 현황 확인 및 수월하게 증빙자료를 산출할 수 있도록 정보보호 상시평가 운영체계를 수립하여야 합니다.

 

2-3. 평가항목별 평가 및 증빙자료 취합

상시평가 평가항목별 담당부서와 담당자 확인이 끝나면 해당 항목에 대한 담당자 인터뷰를 통해 운영 현황을 파악합니다. 인터뷰 시 “상시평가 평가기준” 의 각 평가항목별 중점 확인 사항, 증빙자료 설명을 통해 내부통제기준 수립 여부, 운영의 적정성 등 평가 기준 요구사항을 준수하는지 “이행”, “부분이행”, “미이행”, “해당 없음” 4가지 방법으로 평가해야 합니다.

 

증빙자료는 상시평가 평가기준에 부합하는 내부 규정/지침/기준 등의 내부통제 문서와 관련 시스템 화면 캡처, 계약서/계획서/점검결과/보고서 등의 전자문서 등입니다. 내부 문서, 시스템 화면 캡처 등이 불가능한 경우 금융분야 정보보호 상시평가 안내서를 참고하시면 됩니다.

 

2-4. 운영명세서 작성

상시평가 평가항목별 평가기준 준수여부, 운영 현황, 보완해야 할 사항 등을 “정보보호 상시평가 운영명세서”를 통해 관리하면 담당자가 변경되더라도 업무 연속성이 가능하고, 개인신용정보 정보보호 현황, 미흡/개선 사항 도출, 조치 계획 수립 및 관리, 다음 연도 정보보호 상시평가 자체평가 업무에도 많은 도움이 될 수 있습니다. 운영명세서 양식은 금융회사의 정보보호 상시평가 담당자들이 사내 업무환경에 맞게 작성하고 관리해야 합니다. 해당 이미지는 모 금융회사 정보보호 부서에서 실제 사용하는 정보보호 상시평가 운영 현황 명세서이니 작성 시 참고하시길 바랍니다.

 

운영명세서 작성

 

2-5. 조치 계획 수립

개인신용정보보호를 활용한 비즈니스는 지속적으로 변경되고 있어 개인신용정보의 관리 및 보호실태 자체평가 결과는 매년 달라질 수 있습니다. 정보보호 상시평가제 취지에 따라 개인신용정보의 안전한 관리를 위해 부분이행, 미이행 부분에 대해서는 지속적인 개선이 필요합니다.

 

또한, 전년도에 해당 없음 항목이 비즈니스 환경 변화로 점검 대상이 될 수 있어 업무상 필요하다면 추가적인 조치 계획을 수립해야 합니다. 부분이행, 미이행 항목의 준수를 위해 관련 협업부서, IT부서 협의를 통해 관리적 방안(내부통제 기준 마련, 업무 프로세스 개선 등), 기술적/물리적 방안(관련 정보시스템 변경/구축 등)으로 조치 계획을 수립해야 합니다.

 

정보보호 상시평가 자체평가는 당해 연도 1분기 말까지 보고해야 하므로 1분기에 당해 연도 평가항목별 조치 계획을 확정하고 그 계획에 따라 연말까지 조치를 수행해야 합니다. 해당 이미지는 정보보호 상시평가 자체평가결과를 금융보안원에 제출한 후 모 금융회사 정보보호 부서가 미흡한 항목을 언제 어떻게 조치할 것인지를 정리한 연간 조치계획 샘플입니다.

 

조치 계획 수립

 

2-6. 내부보고(CEO 및 이사회)

정보보호 상시평가 자체평가 결과는 관련 법령에 따라 CEO 및 이사회에 당해 연도 1분기 이내에 보고하고 상시평가 지원시스템에 제출해야 합니다. 보고서에는 자체평가 점수 및 등급, 미이행/부분이행 상세 내용(미수행 사유 포함), 미이행/부분이행 개선 계획 등이 포함되어야 합니다.

 

2-7. 상시평가 지원시스템 현황정보 입력

정보보호 상시평가 자체평가 결과로 각 평가항목별 준수여부, 운영 현황, 증빙자료가 취합이 되면 상시평가 지원시스템에 각 평가항목에 대한 평가결과(이행, 부분이행, 미이행, 해당 없음), 평가의견, 증빙자료를 제출해야 합니다. 평가항목의 평가결과 외에 다음 그림과 같이 상시평가 지원시스템 내 점검결과 서식을 제출하고, 개인신용정보 처리현황 등 각 탭에 전자문서와 내용을 입력해야 합니다. 다음은 정보보호 상시평가 연간 운영 일정 예시입니다.

 

상시평가 지원시스템 현황정보 입력

 

3. 금융보안원 서면점검

첫 번째, 금융보안원의 서면점검 및 대상기관의 이의신청입니다.

금융보안원은 상시평가 대상기관이 제출한 자체평가의 항목별 결과 및 증빙자료를 확인하고 평가한 결과를 게시합니다. 대상기관은 평가결과를 확인한 후 평가결과에 대해 이의신청할 수 있습니다.

 

금융보안원의 서면점검 및 대상기관의 이의신청

 

다음은 종합점수 산정입니다. 종합점수는 가중치 적용 점수를 합산하여 산정하고, 개인신용정보 부문, 가명정보 부문 점수를 각각 부여하여 공개합니다.

 

종합점수 산정

 

다음은 등급체계에 관한 내용입니다.

등급체계는 등급 간 변별력을 확보하기 위하여 기존 10등급을 S, A, B, C, D의 5등급으로 조정하였습니다. 그리고, ISMS-P 인증을 획득한 기관이라면 일부 항목을 면제받을 수 있습니다. 면제 항목 수는 표준평가 기준의 경우 59개 평가 항목 중 30개가 면제 적용됩니다.

 

등급체계

 

면제 방법은 면제 기준을 만족하는 기관에 대해 면제 항목 30개를 상시평가 시 ISMS-P 인증으로 갈음합니다. 해당 면제 항목 점수를 만점 부여하는 방식입니다. 다만 개인신용정보 처리 시 개인신용정보처리시스템 보호 관련 29개 주요 항목에 대해서는 ISMS-P 인증 취득 여부와 관계없이 평가를 실시합니다.

 

면제 기준은 당해연도 1분기말을 기준으로 유효한 ISMS-P 인증서를 보유하고 있어야 합니다. 금융보안원이 발급한 인증서만 인정이 됩니다. 또한 인증 범위가 신용정보법 적용 대상이어야 하며 핵심 개인 신용정보 처리시스템을 포함하고 있어야 합니다.

 

면제 기준

 

금융보안원은 서면점검 완료 후 대상기관별로 상시평가 최종결과(점수·등급)를 조회할 수 있게 안내하고, 상시평가 결과를 금융위원회에 보고합니다. 또한 금융감독원은 금융회사 상시평가 결과를 참고하여 현장 점검에 활용할 수 있습니다.

 

 

C. 정보보호 지원시스템

1. 이용방법

1-1. 회원가입

회원가입의 경우는 해당 서류를 준비한 뒤 회원가입을 해야 합니다. 상시평가 지원시스템에 관리자, 담당자로 회원가입을 하기 위해서는 사업자등록증과 재직증명서가 필요하니 사전에 전자문서 형태로 준비해야 합니다. 이때 주의할 점은 재직증명서의 주민등록번호 뒷자리는 반드시 마스킹 처리해서 제출해야 한다는 것입니다.

 

이후 홈페이지에 접속해서 개인정보 수집 및 활용 동의, 계정 정보 입력 및 준비서류 업로드를 진행하면 금융보안원이 확인 후 회원가입을 승인합니다. 이 홈페이지는 크롬 웹브라우저에 최적화 되어있기 때문에 크롬을 사용하시기 바랍니다.

 

홈페이지 주소 : https://assess.fsec.or.kr

 

상시평가지원시스템

 

assess.fsec.or.kr


1-2. 평가결과 입력, 증빙자료 및 서식 제출

자체평가 결과

자체평가 결과는 각 평가항목 화면의 “제출기준 준수여부 평가하기” 버튼을 클릭하면 평가항목의 자체평가 점수를 부여할 수 있는 세부 확인사항 화면이 나타납니다. 세부항목별 자체평가 결과를 선택하면 자동적으로 평가항목에 대한 자체평가 점수가 결정이 됩니다. 선택한 세부 확인사항에 배점된 점수에 따라 해당 항목의 자체평가 결과가 결정됩니다.

 

자체평가 의견은 평가항목 중점확인사항에 대한 대상기관 업무의 계획, 점검, 결과 등을 기재합니다. 또한, 금융보안원 서면점검 담당자는 대상기관의 자체평가 의견으로 증빙자료를 검토하고 평가항목의 준수여부를 판단하므로 자체평가 의견을 서면점검 담당자가 이해할 수 있도록 간략, 명료하게 기재하는 것이 좋습니다.

 

증빙자료

증빙자료는 내부통제 문서, 보고서, 시스템 화면 캡처, 현황 목록 등이 될 수 있으며 평가항목별 “항목 가이드라인 보기” 버튼을 통해 증빙자료 제출 기준을 상세하게 안내하고 있습니다. 제출한 증빙자료는 자체평가 기간 동안에는 삭제하고 다시 업로드할 수 있습니다.하지만 최종제출 이후에는 이미 제출한 자료는 삭제할 수 없습니다. 이의신청 기간에 각 평가항목별 추가 증빙자료 제출은 가능하지만 이미 제출한 증빙자료는 삭제가 불가하니 주의해야 합니다.

 

서식제출

다음은 신용정보업감독규정 별지 제8호의3 ‘개인신용정보 활용관리 실태 점검결과’ 서식입니다. 점검결과 서식 작성 시 유의사항으로는 수신, 참조, 보고일, 서명 날짜 등을 반드시 작성해야 하며, 정보보호 상시평가 자체평가 결과는 대표이사, 이사회 보고가 법령 의무사항이므로 대표이사, 이사회 보고서를 누락하지 않아야 합니다.

 

이때 대표이사 또는 이사회 보고서는 소속회사에서 사용하는 자체 양식을 사용하되 대표이사 등의 승인 또는 결재한 내역이 포함되어야 합니다. 개인신용정보 미처리 기관의 경우에는 아래 주의사항을 유념해주시기 바랍니다.

 

점검결과 서식 작성 시 주의사항


먼저 개인신용정보 활용관리 실태 점검결과 서식에서 ‘주요 보고사항‘에 개인신용정보 관련 업무가 없음을 기재하고, ‘대표이사 또는 대표자 및 이사회 보고서’에도 반드시 개인신용정보 미처리 한 사항을 보고하고, 대표이사 등이 승인한 내역을 포함해야 합니다.

 

그 외 유의사항

첫째, 전체 항목의 평가결과가 완료되어야 최종 제출이 됩니다. 평가결과 요약 페이지를 통해 누락된 평가항목이 없고 자체평가 결과/의견 및 증빙자료 진행률이 100%가 되어야 합니다.

 

둘째, 개인신용정보 관리 현황 페이지의 개인신용정보 처리 여부와 대표이사 보고 내용이 일치해야 합니다.
다음 그림의 상시평가 지원시스템 개인신용정보 관리 현황 페이지에서는 개인신용정보 처리 여부가 “예”로 기재되어 있지만, 두 번째 그림의 개인신용정보 활용·관리 실태 점검 결과의 대표이사 보고 실적에는 “개인신용정보 처리 내역 없음”을 기재하지 않아야 합니다.

 

또한, 개인신용정보 관리 현황 페이지에서 개인신용정보 처리 여부가 "아니오"인 경우 자체 평가는 수행할 필요가 없으며 자체평가 기능은 비활성됩니다. 단, 대표이사 또는 이사회를 통해 당사는 개인신용정보를 처리하지 않는다는 내용을 문서로 작성하여 결재를 득하고 증빙자료로 제출해야 인정됩니다.